بسم الله الرحمن الرحيم 
والحمد لله رب العالمين 
والصلاة والسلام على سيدنا محمد النبي الكريم وعلى آله وأصحابه أجمعين 
ربنا تقبل منا إنك أنت السميع العليم وتب علينا إنك أنت التواب الرحيم 


سول الله ی کنا به العزز 
بی ا ل ر 


e NIL‏ جا 


"رب أشرح لي صدري ويسر لي أمرى واحلل عقدة من لسانى يفقهوا قولي" 
اللهم لا علم لنا إلا ما علمتنا إنك أنت العليم الحكيم 
أخوكم في الله 


م / مصطفی عبده توفیق محمد 
جمهوريه مصر العربيه 


دف 
تعمل الفيروسات 


الخطوة الأولى في مكافحة فيروسات الكمبيوترء هي فهم أنواعها 
وآليات عملها 

تتضمن معظم الكمبيوترات الشخصية المباعة حديثاً برامج لمكافحة الفيروسات» وهذه 
الحقيقةء أكثر من أي شيء آخر تدلنا على مدى انتشار الفيروسات»› ومدى قبول صناعة 
الكمبيوتر بهاء كقدر لا مفر منه! لقد أصبحت الفيروسات أمراً واقعاً في عالم الكمبيوتر 
اليوم.يوجد حالياً الآلاف من فيروسات الكمبيوتر» ويمكن تصنيفها إلى عدة فنات» لكنها 
جميعاء على العموم» تخضع لتعريف مشترك بسيط: الفيروس هو برنامج كمبيوتر مصمم 
عمداً ليقترن ببرنامج آخر» بحيث يعمل الفيروس عندما يعمل ذلك البرنامج» ومن ثم يعيد 
إنتاج نفسه باقترانه ببرامج أخرى. ويقترن الفيروس بالبرنامج الأصلي بإلصاق نفسه به 
أو باستبداله أحياناًء وقد يغير الفيروس نفسه عند إعادة الإنتاج» فيظهر كنسخة معدلة عن 
النسخة التي قبلهاء كلما كرر العملية. ويمكن أن تتلوث برامج الماكرو بالفيروس› أو قطاع 
الإقلاع (إماءمء ٤00ط)‏ على القرص» وهو أول برنامج يتم تحميله من قرص يحمل 
ملفات إقلاع نظام التشغيل. 

لاحظ عبارة "مصمم عمد" في التعريف» فالفيروسات لا تظهر صدفةء بل يكتبها 
مبرمجون ذوو مهارات عالية عادة ثم يجدون طريقة لنشرها في أجهزة المستخدمين 
الغافلين عنها. وكلما أصبحت برامج مكافحة الفيروسات أقوى» زاد المبرمجون من 
جهودهم لتطوير فيروسات أذكى» للتحايل عليها. والهدف من تطوير الفيروسات» بالنسبة 
للكثير من مؤلفيهاء ليس أكثر من تحد» والرغبة في إثبات تفوقهم» بينما هو للبعض الآخر 
التلذذ بإثارة حيرة الآخرين وشكوكهم في الكمبيوتر» أو إزعاجهم» وحتى إيذانهم! وهذا أمر 


سيئ جداًء إذ يمكنهم أن يجنوا أموالاً طائلة› إذا وجهوا مواهبهم لمساعدة الشركات على 
حل مشكلة العام 2000 بدلا من هدرها في أعمال لا طائل منهاء مثل تطوير الفيروسات. 
اشتهرت فيروسات الكمبيوتر بقدرتها على الأذى وإحداث الأضرار» لكن في الحقيقةء فإن 
الكثير منها غير مؤذ. صحيح أن بعضها يحذف الملفات» أو يقوم بأعمال تخريبية أخرىء 
لكن معظمها يسبب إزعاجاً بسيطاً فقط وبعضها لا يلحظه المستخدم العادي أبداً. ويكفي أن 
يتمكن البرنامج من إعادة إنتاج نفسه حتى يعتبر فيروساًء بغض النظر عن الأعمال التي 
ينفذها, 

لكن» في الحقيقةء حتى الفيروسات غير المؤذيةء تسبب بعض الأذى! فهي تستهلك 
مساحات تخزين على القرص» وجزءاً من ذاكرة الكمبيوتر» وتشغل جزءاً من طافة 
المعالج» وبالتالي فهي تؤثر على سرعة وكفاءة الجهاز. أضف إلى ذلك أن برامج كشف 
الفيروسات وإزالتهاء تستهلك أيضاً موارد الجهاز. ويرى الكثير من المستخدمين› أن 
برامج مكافحة الفيروسات تبطئ عمل الجهاز بشكل ملحوظ وهي أكثر تطفلاً عليه من 


الفيروسات ذاتها! وبعبارة أخرى» تؤثر الفيروسات في عالم الكمبيوتر» حتى إذا لم تكن 


الفيروسات وأشباه الفيروسات 


إن الشرح المذكور في الفقرة السابقة عن الفيروس» أكثر تحديداً من الطريقة التي نستخدم 
فيها كلمة "فيروس" في الواقع. وتوجد أنواع أخرى من البرامج»› ينطبق عليها تعريف 
الفيروس جزنياً. تشترك هذه الأنواع مع الفيروسات في أنها تعمل بدون علم المستخدم 
وتقوم بأعمال ضمن الكمبيوتر» مصممة عمداً لتنفيذها. ومن هذه الأنواع: الديدان 
(5اwo)»‏ وأحصنة طروادة (رھزهإآ كموامط)» وبرامج الإنزال (؟إممdropp(.‏ 
وتعتبر كل هذه البرامج» بما فيها الفيروسات» جزءاً من فنة أكبر تدعى البرامج الماكرة 
(wareاma)»›‏ وهي مشتقة من عبارة .malicious-logic software‏ 

والدودة برنامج يعيد إنتاج نفسه» لكنها لا تلوث برامج أخحرى. تنسخ الدودة نفسها من وإلى الأقراص المرنةء 
أو عبر الشبكات» ويعتمد بعضها على الشبكة ق إنجاز عملها. تستخدم إحدى أنواع الديدان -وهي الدودة 
المضيفة W0۲10(‏ 005)- الشبكة لنسخ نفسهاء فقط» إلى أحهزة الكمبيوتر المتصلة بالشبكة. بينما توزع 
الدودة الشبكية W0۲۳0(‏ W0۲]Kع0)‏ أجزاءها على عدة كمبيوترات» وتعتمد على الشبكة فيما بعد 
لتشغيل هذه الأحزاء. ويعكن أن تظهر الديدان على كمبيوترات منفصلةء فتنسخ نفسها إلى أماكن متعددة على 
ا اعا 

وسمي النوع الثاني من البرجيات الماكرة "حصان طروادة"» نسبة للأسطورة الإغريقية الواردة ق ملحمة 
الأوديسا هوميروس» حيث ترك الجيش الإغريقي خا ا ا كهدية لسكان طروادة» و كان يختبيء 
ضمنه بحموعة من الحنود الأشداء» بعد أن تظاهروا بإاء الحصار الطويل» وعندما رحل الجيش وأدحل السكان 
الحصان إلى داحل أسوار المدينة» حرج الجند منه وانقضوا على الحامية» وسقطت المدينة في أيدي الإغريق. 
وتعتمد برامج أحصنة طروادة على المبداً ذاته» فهي تختبئ ضمن برامج يبدو مظهرها بريتاء وعندما يشل 
الستحدم واحدأ من هذه البرامج» ينشط الحزء الماكر ويقوم بعمل معين مصمم له. وتختلف أحصنة طروادة عن 
الفيروسات العادية» ق أَمُا لا تعيد إنتاج نفسها. 

وصممت برامج الإنزال )۲0P8۲8(‏ لراوغة برامج مكافحة الفيروسات» وتعتمد على التشفير غالبا مع 
اكتشافها. ووظيفة هذه البرامج عادة» نقل وت ركيب الفيروسات» فهي تنتظر لحظة حدوث أمر معين على 
الكمبيوتر» لكي تنطلق وتلوثه بالفيروس امحمول قي طياتا. 


وينتمي مفهوم قنبلة (00100) الكمبيوتر إلى هذه الفغةء إذ تبن القنابل ضمن البرججيات الماكرة كواسطة 
لتنشيطها. وتبرمج القنابل لتنشط عند حدوث حدث معين. تنشط بعض القنابل في وقت خحدد» اعتمادا على 
ساعة الكمبيوتر. فيمكن برجة قنبلة مثلاء لمسح كافة الملفات ذات الامتداد . 00€ من قرصك الصلب» 
عشية رأس السنة الميلادية» أو لعرض رسالة على الشاشة»ء ق اليوم المصادف لعيد ميلاد شخحصية مشهورة. 
وتعمل بعض القنابل تحت شروط أو أحداث أحرى» فيمكن أن تنتظر القنبلة إلى أن يتم تشغيل برنامج معين» 
عر مه مغلا وعندها تمسح ملفات القوالب (Sع)4آم0.ع])‏ الخاصة بهذا البرنامج. ومن وجهة النظضر 
هذه» تعتبر القنابل بحرد برامج جدولة زمنية ماكرة. 

ويمكننا النظر إلى الفيروسات كحالات حاصة من البرجحيات الماكرةء إذ حكن للفيرو سات الانتتششار بواس طة 


برامج الإنزال (ولا يشترط ذلك)» وهي تستخدم مفهوم برامج الديدان لإعادة إنشاج نفسها. ولا تعتبر 
الرر سات اة ل خض طرر اة من الا اة إو غا فاا ن قطن ف فة أغعالا لا ريطا 
المستخحدم» وتحول البرنامج الذي تلتصق به إلى حصان طرواة بايا و داحله» وتعمل عندما يعمل 


البرنامج» وتنفذ أعمالا غير مرغوبة) 


كيف يعمل الفیروس؟ 


تعمل الفيروسات بطرق مختلفة» وسنعرض فيما يلي الطريقة العامة التي تنتهجها كافة 
الفيروسات. في البداية يظهر الكمبيوتر على جهازك› ويكون قد دخل إليه مختبناً في ملف 
برنامج ملوث (مثل ملفات 0)0٥‏ أو ×٤‏ أو قطاع الإقلاع). وكانت الفيروسات في 
الماضي تنتشر بشكل أساسي عن طريق توزيع أقراص مرنة ملوثة. أما اليوم» فمعظمها 
يأتي مع البرامج المنقولة عبر الشبكات (ومن بينها إنترنت)» كجزء من برنامج تركيب 
نسخة تجريبية من تطبيق معين» أو ماكرو لأحد التطبيقات الشهيرة» أو كملف مرفق 
(me14طcهatt)‏ برسالة بريد إلكتروني. 


ويجدر التنويه إلى أن رسالة البريد الإلكترون نفسها لا يمكن أن تكون فيروساء فالفيروس برنامج» ويب 
تشغيله لكي يصبح نشطا. إذا الفيروس المرفق برسالة بريد إلكترون» لا حول له ولا قوة» إلى أن تشغعله. ويتم 
تشغيل فيروسات المرفقات عادة» بالنقر عليها نقرة مزدوحة بالماوس. ويمكنك حماية حهازك من هله 
الفيروسات» بالامتناع عن تشغيل أي ملف مرفق برسالة بريد إلكتروي»› إذا کان امتدادە «EXE ٍ;Î ٥0M‏ 
أو إذا كان أحد ملفات بيانات التطبيقات الي تدعم الماكرو» مثل برامج أوفيس» إلى ما بعد فحصه والتأكد 
من حلوه من الفيروسات. أما ملفات الرسوميات والصوت» وأنواع ملففات البيانات الأحرى القادمة 
كمرفقات» فهي آمنة» ولا يكن للفيروس أن ينشط من خلاهاء ولذلك فهو لا يها جمها. 

إذا يبدأ الفيروس دورة حياته على الجهاز بشكل مشابه لبرنامج حصان طروادة» فهو يختبئ ق نايا برنامج أو 
ملف آخر» وينشط معه. ف الملفات التنفيذية الملوثة» يكون الفيروس قد ضاف شيفرته إلى البرنامج الأصلي»› 
وعدل تعليماته بحيث ينتقل التنفيذ إلى شيفرة الفيروس. وعند تشغيل الملف التنفيذي المصاب» يقفز البرنامج 
عادة إلى تعليمات الفيروس» فينفذهاء ثم يعود ثانية لتنفيذ تعليمات البرنامج الأصلي. وعند هذه النقطة يكون 
الفيروس ناشطاء وحهازك أصبح ملوثا. 

وقد ينفذ الفيروس مهمته فور تنشيطه (ويطلق عليه فيروس العمل المباشر (١10)٥4-٥1۲۴ل)»‏ أو يقبع 
منتظرا ق الذاكرة» باستخدام وظيفة "الإماء والبقاء في الذاكرة" terminate and stay resident,‏ 
“۲SR(‏ الي تؤمنها نظم التشغيل عادة. وتنتمي غالبية الفيرو سات هذه الفغة» ويطلق عليها الفيروسات 
"المقيمة". ونظرا للإمكانيات الكبيرة المتاحة للبرامج المقيمة في الذاكرة» بدءا من تشغيل التطبيقات والنسخ 
الاحتياطي للملفات إلى مراقبة ضغطات لوحة المفاتيح ونقرات الماوس (والكثير من الأعمال الأحرى)» فيمكن 


برجحة الفيروس المقيم» لتنفيذ أي عمل يمعكن أن يقوم به نظام التشغيل» تقريبا. بمكن تشغيل الفيروس المققيم 
كقنبلة» فيبدأً مهمته على حهازك عند حدث معين. ومن الأمور الي تستطيع الفيروسات للمقيمة عملهاء مسح 
)S٥40(‏ قرصك الصلب وأقراص الشبكة بحثا عن الملفات التنفيذية» ثم نسخ نفسها إلى هذه الملفات وتلويثها. 


يبحث مطورو الفيروسات» بشكل دائم» عن طرق جديدة لتلويث كمبيوترك› لكن أنواع 
الفيروسات معدودة عملياًء وتصنف إلى: فيروسات قطاع الإقلاع (boot sector‏ 
(sesںviru»‏ وملوثات الملفات (sاctoمÊfر¡‏ eاf1)ء‏ وفیروسات الماکرو ٥(‏ ٣ھ"‏ 
68ا). وتوجد أسماء أخرى لهذه الفنات» وبعض الفنات المتفرعة عنهاء لكن 
مفهومها یبقی واحداً. 

تقبع فيروسات قطاع الإقلاع ني أماكن معينة على القرص الصلب ضمن جهازك وهي الأماكن الي يقرأها 
الكمبيوتر وينفذ التعليمات المخزنة ضمنهاء عند الإقلاع. تصيب فيروسات قطاع الإقلاع الحقيقية منطقة قطاع 
الإقلاع الخاصة بنظام دوس (0۲Q٤ع]‏ )500 »))(00S‏ بينما تصيب فيروسات الفغفة الفرعية المسماة 
.MBR viruses‏ قطاع الإقلاع الرئيسي للکمبیوتر ۲۴٥0۲0(‏ )500 ۲ع0048]). يقرا الکمبیوتر کلا 
لمنطقتين السابقتين من القرص الصلب عند الإقلاع» نما يؤدي إلى تحميل الفيروس قي الذاكرة. بمكن 
للفيرو سات أن تصيب قطاع الإقلاع على الأقراص المرنة» لكن الأقراص المرنة النظيفة» والمحمية من الكتابة» 


تبقى أكثر الطرق أمنا لإقلاع النظام» في حالات الطوارئ. والمشكلة الي يواجحهها المستخدم بالطبع» هي كيفية 
التأكد من نظافة القرص المرن» أي خلوه من الفيروسات» قبل استخدامه في الإقلاع» وهذا ما تحاول أن تفعله 
برامج مكافحة الفيروسات. 


تلصق ملوثات الملفات (وتدعى الفيرو سات الطفيلية 4۲35811٥ ۷1۲11588S(‏ م) نفسها باللففات 
التنفيذية» وهي أكثر أنواع الفيروسات شيوعاً. وعندما يعمل أحد البرامج الملوثةء فإن هذا الفيروس» عادة» 
ينتظر في الذاكرة إلى أن يشقل المستخدم برناجاً آحرء فيسرع عندها إلى تلويثه. وهكذاء يعيد هذا النوع من 
الفيروس إنتاج نفسه» ببساطة» من خلال استخدام الكمبيوتر بفعالية» أي بتشغيل البرامج! وتوحد أنواع مختلفة 
من ملوثات الملفات» لكن مبدأً عملها واحد. 

تعتمد فيرو سات الماكرو (۷1۲10888 »)004٥0۲0‏ وهي من الأنواع سیا على حقيقة أن الكثير من 
التطبيقات تتضمن لغات برجحة مبيتة ضمنها. وقد صممت لغات البرجحة هذه لمساعدة المستخدم على أنمتة 
العمليات المتكررة ال يجريها ضمن التطبيق» من خلال السماح له بإنشاء برامج صغيرة تدعى برامج الماكرو. 
تتضمن برامج طاقم أوفيس» مثلاء لغة برجة مبيتة» بالإضافة إلى العديد من برامج الماكرو البيتة أيضاء والحاهزة 
للاستخدام المباشر. وفيروس الماكرو ببساطة» هو برنامج ماكرو مصمم للعمل مع تطبيق معين» أو عدة 
تطبيقات تشترك بلغة برججة واحدة. أصبحت فيروسات الماكرو شهيرة بفضل الفيروس المصمم لبرنامج 


مایکروسوفت وورد. فعندما تفتح وثيقة أو قالبا ملوثين» ينشط الفيروس ويؤدي مهمته التخريبية. وقد برمج 
هذا الفيروس لينسخ نفسه إلى ملفات الوثائق الأحرى» نما يؤدي إلى ازدياد انتشاره مع استمرار استخدام 
البرنامج. 

ويجمع نوع رابع يدعى الفيروس "متعدد الأحزاء" (ع)٤٣2م1)1لا)‏ بين تلويث قطاع الإقلاع مع تلويث 
الملفات» في وقت واحد. 

ستجد قائمة ضخمة بأسماء الفيروسات» مع شرح تفصيلي عن آثار كل منهاء قي قسم كل۷1۲ 
opedi2اEncyc‏ من موقع تبر مكافحة الفيروسات» الخحاص بشركة سيمانتك» على 


http://www.symantec.com/avcenter/vinfodb. ht 1 ان:‎ giz 


ذکاءِ الفيروسات في ازدیاد 


نجح مبدأً فيروس الماكرو» لأن لغات البرمجة أمنت إمكانية الوصول إلى الذاكرة والأقراص 
الصلبة. وهذا ما أمنته التقنيات الحديثة أيضاًء بما فيها عناصر تحكم ×مA)i۷»‏ 
وبرمجيات جافا (sاءاممه‏ ه۷هل). صحيح أن هذه التقنيات صممت مع ضمان حماية 
القرص الصلب من برامج الفيروسات (تعد جافا أفضل من ×ع۷ء۸ في هذا المجال)»› 
لكن الحقيقة أن هذه البرامج تستطيع تركيب نفسها على جهازك بمجرد زيارتك لموقع 
ويب. ومن الواضح أن أجهزتنا ستكون أكثر عرضة لمخاطر الفيروسات والبرمجيات 
الماكرة الأخرى» مع ازدياد تشبيك الكمبيوترات ببعضهاء وبشبكة إنترنت» خصوصاً مع 
المزايا التي تعدنا بها إنترنت لإجراء ترقية نظم التشغيل عبرها (يؤمن نظاما ويندوز98 
وويندوز 2000 هذه الإمكانيات). 


إن أقل ما يوصف به مطورو الفيروسات» هو مهارتمم وقدرقم الفذة على الابتكار» فهم يخرحون إلينا دائا 


بطرق حديدة لخداع برامج مكافحة الفيروسات. فمثلاء تضلل الفيرو سات المسللة (stealth Vi105S€5)‏ 
الجديدة» برامج مكافحة الفيروسات» بإيهامها أن الأمور تسير على ما يرام» ولا يوحد أي مؤشر على وحود 
فیروس. کیف؟ 


يعتمد مبدأً عمل الفيروس المتسلل» على الاحتفاظ .ععلومات عن الملفات الي لوثهاء ثم الانتظار في الذاكرة 
ومقاطعة عمل برامج مكافحة الفيروسات خلال بحثها عن الملفات المعدلة» وإعطائها المعلومات القديمة الي 
يحتفظ يها عن هذه الملفات» بدلا من السماح هما بالحصول على المعلومات الحقيقية من نظام التشغيل! 

أما الفيرو سات متغيرة الشكل (٤1اأم‏ 0100۲ Sعكل۷1۲)»‏ فتعدل نفسها أثناء إعادة الإنتاج» نما يجعل 
من الصعب على برامج مكافحة الفيروسات الي تبحث عن نماذج معينة من مثل هذا الفيروس» اكتشاف كافة 
أشكاله الموحودة» وبالتالي تستطيع الفيروسات الناحية» الاستمرار وإعادة إنتاج أشكال حديدة. 

تظهر أنواع حديدة من الفيروسات إلى حيز الوحود بشكل دائم» مع استمرار لعبة القط والفأر بين مطوري 
الفيرو سات ومنتجي برامج مكافحتها. وأغلب الظن أن الفيرو سات ظهرت لتبقى» إلى ما شاء الله. 


بعض الفيروسات الشائعة 
اسم الفيروس 


Aol4free.com 


بوقف عمل الكمبيوتر في الساعة السابعة وسبع 
ملفات C0‏ و ۴×۴ ٠‏ دقائق» ني اليوم السابع من شهر يوليوء أي 7/7- 
7 ویظھر كلمة Monica‏ 

| يدشط في السادس والعشرين من كل شهرء ويحاول 
W95.CIH‏ ملفات ×٤‏ لویندرز95 الكتابة فوق ذاكرة فلاش بيوس» وتخريب بيانات 
1 القرص الصلب 


Monica 
(Hanko.4167) 


W97/X97M‏ وثائق (ملفات بیانات) وورد 97‏ أول فیروس من نوع الماکرو بصيب ملفات وورد 
Shiver‏ وإکسل97 وإكسل معاء ويمنع تحميل الوثائق الملوثة 

يرسل معلومات من عدة ملفات على القرص 
الصلب» إلى عناوين 1۲ محددة عبر إنترنت 

يرسل رسالة إل حمر عات نقاش عددة بواسطة 

WM.PolyPoster‏ وثائق وورد برنامج ۴٣۴۴۴ ۸2٥1۸٤‏ ويضع وثيقة وورد 

الراهنة كملف مرفق بالرسالة 

ينشط بعد تاريخ 31 أغسطس 1998 عند إغلاق 

XM.Compat‏ جداول إكسل الممتدة جدول ملوث» فيختار مجموعة عشوائية من الخلايا 

العدديةء ويغير قيمها بنسبة 5 بالائة. 


Win32/Semisoft‏ ملفات ×٤‏ لنظم ویندوز 


أرجو أن تكونوا استفدتم بقراءة هذا الكتاب ولتدعوا الله لي بظهر الغيب 


ولأي استفسار بالرجاء مراساتي على الرابط التالي :- 


E mail :- MostafaDigital@yahoo !.com 


ولكم تحياتي 
م/ مصطفی عبده توفیق محمد 


